2019 restera dans les mémoires comme l'année où des bugs de sécurité majeurs ont été révélés dans un grand nombre de services VPN pour les pros, tels que ceux vendus par Pulse Secure, Palo Alto Networks, Fortinet et Citrix.
Un nouveau rapport publié aujourd'hui révèle que des pirates soutenus par le gouvernement iranien ont fait de l'exploitation des services VPN une priorité absolue l'année dernière. l'objectif : s'infiltrer et installer des portes dérobées (backdoor) dans les entreprises du monde entier.
Selon un rapport de la société israélienne de cybersécurité ClearSky, les pirates informatiques iraniens ont ciblé des entreprises "des secteurs de l'informatique, des télécommunications, du pétrole et du gaz, de l'aviation, du gouvernement et de la sécurité".
Certaines attaques ont eu lieu quelques heures après la divulgation publique
Le rapport vient dissiper l'idée que les hackers iraniens ne sont pas moins sophistiqués et moins talentueux que leurs homologues russes, chinois ou nord-coréens.
ClearSky affirme que "les groupes APT iraniens ont développé de bonnes capacités techniques offensives et sont capables d'exploiter des vulnérabilités dans des délais relativement courts".
Dans certains cas, ClearSky dit avoir observé des groupes exploitant des failles de VPN dans les heures qui suivent la divulgation publique des failles. ATP signifie Advanced Persistent Threat.
Ce terme est souvent utilisé pour décrire les unités de piratage financé ou influencés par des États.
ClearSky affirme qu'en 2019, des groupes iraniens ont exploité des vulnérabilités rendues publiques dans le VPN Pulse Secure "Connect" (CVE-2019-11510), le VPN Fortinet FortiOS (CVE-2018-13379), et le VPN Palo Alto Networks "Global Protect" (CVE-2019-1579).
Les attaques contre ces systèmes ont commencé l'été dernier, lorsque les détails des failles ont été rendues publiques. Mais elles se sont également poursuivies en 2020.
De plus, a mesure que d'autres failles sur les services VPN ont été rendues publiques, les pirates ont également inclus ces exploits dans leurs attaques (à savoir CVE-2019-19781, une vulnérabilité révélée dans les VPN Citrix "ADC").
Piratage d'entreprises pour installer des portes dérobées
Selon le rapport de ClearSky, ces attaques ont pour but de pénétrer les réseaux d'entreprises, de se déplacer latéralement dans leurs systèmes internes et d'installer des portes dérobées pour les exploiter ultérieurement.
Alors que la première phase (l'exploitation de la faille) de leurs attaques vise les services de VPN, la deuxième phase (le mouvement latéral dans le réseau de l'entreprise) implique l'utilisation d'une collection complète d'outils et de techniques.
Cela montre à quel point ces unités de piratage iraniennes sont devenues douées ces dernières années.
Par exemple, les pirates ont utilisé une technique connue depuis longtemps pour obtenir des droits d'administration sur les systèmes Windows via l'outil d'accessibilité "Sticky Keys" [1, 2, 3, 4].
Ils ont également exploité des outils open source de piratage comme JuicyPotato et Invoke the Hash, mais ils ont aussi utilisé d'autres logiciels d'administration système comme Putty, Plink, Ngrok, Serveo ou FRP.
En outre, lorsque les pirates ne trouvaient pas d'outils open source ou d'utilitaires pour les aider dans leurs attaques, ils avaient également les connaissances nécessaires pour développer des logiciels malveillants personnalisés.
ClearSky affirme avoir trouvé des outils comme :
STSRCheck - Bases de données développées en interne et outil de cartographie des ports ouverts.
POWSSHNET - Logiciel malveillant de porte dérobée développé par ClearSky pour le tunneling RDP-over-SSH.
Custom VBScripts - Scripts permettant de télécharger des fichiers TXT depuis le serveur de commande et de contrôle (C2 ou C&C) et d'unifier ces fichiers en un fichier exécutable portable.
Socket-based backdoor over cs.exe - Fichier EXE utilisé pour ouvrir une connexion vers une adresse IP codée en dur.
Port.exe - Outil permettant de rechercher une adresse IP sur des ports prédéfinis.
Plusieurs groupes agissant comme un seul groupe
Une autre révélation du rapport ClearSky est que les groupes iraniens semblent également collaborer et agir comme un seul homme, ce qui n'a pas été le cas dans le passé.
Le rapport ClearSky souligne que les attaques contre les serveurs VPN dans le monde entier semblent être le fait d'au moins trois groupes iraniens, à savoir APT33 (Elfin, Shamoon), APT34 (Oilrig) et APT39 (Chafer).
La menace de la suppression des données
Le but de ces attaques semble être d'effectuer des reconnaissances et d'installer des portes dérobées pour les opérations de surveillance.
Cependant, ClearSky craint que l'accès à tous ces réseaux d'entreprise infectés ne soit également utilisé à l'avenir pour déployer des logiciels malveillants afin d'effacer des données.
L'objectif ? Saboter les opérations commerciales des entreprises et démanteler leurs réseaux.
De tels scénarios sont possibles et très plausibles.
Depuis septembre 2019, deux nouvelles souches de logiciels malveillants d'effacement de données (ZeroCleare et Dustman) ont été découvertes et reliées à des pirates informatiques iraniens.
De plus, ClearSky n'exclut pas que les pirates iraniens puissent exploiter l'accès à ces entreprises pour attaquer la chaîne d'approvisionnement de leurs clients.
Au début de ce mois, le FBI a envoyé une alerte de sécurité au secteur privé américain pour l'avertir des attaques en cours contre les logiciels utilisés par les entreprises pour leur chaîne d'approvisionnement, "y compris les entités soutenant les systèmes de contrôle industriel (ICS - Industrial Control Systems) pour la production, la transmission et la distribution d'énergie au niveau mondial".
Les ICS et le secteur de l'énergie ont été une cible traditionnelle des groupes de pirates informatiques iraniens par le passé.
Le conseil : bien vérifier les indicateurs de compromission
La même alerte du FBI note des liens entre les logiciels malveillants déployés dans ces attaques et le code utilisé précédemment par le groupe iranien APT33. Ce qui suggère fortement que les pirates informatiques iraniens pourraient être derrière ces attaques.
En outre, l'attaque contre Bapco, la compagnie pétrolière nationale du Bahreïn, a utilisé la même tactique de "brèche VPN -> déplacement latéral" que celle que ClearSky décrit dans son rapport.
ClearSky avertit qu'après des mois d'attaques, les entreprises qui ont finalement mis en place des patchs sur leurs serveurs VPN devraient également scanner leurs réseaux internes pour détecter tout signe de compromission.
Le rapport de ClearSky inclut des indicateurs de compromission (IOC - indicators of compromise) que les équipes de sécurité peuvent utiliser pour scanner les logs et les systèmes internes à la recherche de signes d'intrusion.
Cependant, les mêmes failles ont également été exploitées par des pirates informatiques chinois et de multiples groupes effectuant du ransomware et du cryptomining.
Attention : de nouvelles failles sur les VPN
En outre, compte tenu des conclusions du rapport ClearSky, on peut également s'attendre à ce que les pirates informatiques se ruent sur l'occasion pour exploiter les nouvelles failles des services VPN une fois qu'elles seront rendues publiques.
Cela signifie que nous pouvons nous attendre à ce que les pirates informatiques iraniens ciblent très probablement les serveurs VPN SRA et SMA de SonicWall à l'avenir, après que des chercheurs en sécurité aient publié au début de la semaine des détails sur six vulnérabilités ayant un impact sur ces deux produits.
Vous nous aimez, prouvez-le....